Android——SELinux 权限简介

最新推荐文章于 2024-08-15 13:24:05 发布
最新推荐文章于 2024-08-15 13:24:05 发布
阅读量2k 收藏 9
点赞数 3
分类专栏: Android 文章标签: android java apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly0724ok/article/details/118146530
版权

权限不够导致问题,Android ADB关闭Selinux 后尝试

查询当前权限状态:adb shell getenforce
临时关闭selinux:adb shell setenforce 0

1. 问题

1.问题log

E SELinux : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0

I auditd : avc: denied { find } for service=display pid=3015 uid=1046 scontext=u:r:mediacodec:s0 tcontext=u:object_r:display_service:s0 tclass=service_manager permissive=0
 
 	注意denied后面{}中的内容, 说明了缺失的权限

2.添加权限的格式

        allow SourceContext TargetContext:TargetClass Permission;

3.例子

        按照格式对照1中的log,可以读出信息:
        scontext 对应SourceContext, 是mediacodec
        tcontext 对应 TargetContext, 是display_service
        tclass对应TargetClass, 是service_manager
        最后应该添加的权限是
        allow mediacodec display_service:service_manager find;

2. 基本语法

rule_name source_type target_type:class perm_set

rule_name:		规则名,分别有allow,dontaudit,neverallow等
source_type:	主要作用是用来填写一个域(domain), 一般描述一个进程
target_type:	目标类型, 即安全上下文
class:			类别,主要有File,Dir,Socket,SEAndroid还有Binder, 在此基础上又分出设备字符类型		(chr_file), 链接文件(lnk_file)等
perm_set:		动作集

通俗介绍:

avc: denied { ioctl } for pid=3295 comm=“celerateService” path="/dev/cmapool" dev=“tmpfs” ino=8392 ioctlcmd=0x5000 scontext=u:r:system_app:s0 tcontext=u:object_r:mstar_cma_device:s0 tclass=chr_file permissive=1

{ ioctl }:缺少什么权限
scontext=u:r:system_app:s0:谁缺少权限
tcontext=u:object_r:mstar_cma_device:s0:对哪个文件缺少权限
tclass=chr_fil:什么类型的文件

找到system_app.te 通常会在device/XXX/XXX/sepolicy或device/XXX/XXX/sepolicy下然后找到此文件打开添加

allow system_app mstar_cma_device:chr_fil ioctl 就OK了。

添加然后 make installclean,再编译打包 就OK了。

3. 详细介绍

rule_name:

  • allow:允许某个进程执行某个动作
  • auditallow:记录某项操作。默认SELinux只记录那些权限检查失败的操作。 auditallow则使得权限检查成功的操作也被记录。它和赋予权限无关,只是记录, 权限赋予只能用allow
  • dontaudit:对那些权限检查失败的操作不做记录。
  • neverallow:没有被allow到的动作默认就不允许执行的。neverallow只是显式地写出某个动作不被允许,如果添加了该动作的allow,则会编译错误

source_type:

  • 指定一个"domain" 一般描述某个进程, 该域内的的进程,受该条TE语句的限制。用type关键字,把一个自定义的域与原有的域相关联, 用type定义一个新域:type shell, domain
  • 表示把shell加入domain域, shell与domain在同一个集合里, 如果有一个allow domain xxxxx 的语句,同样地也给了shell xxxxx的属性.

target_type:

  • 指定进程需要操作的客体(文件,文件夹等)类型(安全上下文), 同样是用type与一些已有的类型,属性相关联
    //属性dev_type在某些attributes文件中定义
    attribute dev_type;
    attribute mlstrustedobject;
    // 使用type定义一个新的属性和现有属性关联
    type usb_device, dev_type, mlstrustedobject;
  • 也可以先用type关键字定义属性,在用typeattribute关键字进行属性关联
    #定义httpd_user_content_t,并关联两个属性
    type httpd_user_content_t, file_type, httpdcontent;
    分成两条语句进行表述:
    #定义httpd_user_content_t
    type httpd_user_content_t;
    #关联属性
    typeattribute httpd_user_content_t file_type, httpdcontent;

class:

  • 用class来定义一个客体类别, 类似:
    #file-related classes
    class filesystem
    class file #代表普通文件
    class dir #代表目录
    class fd #代表文件描述符
    class lnk_file #代表链接文件
    class chr_file #代表字符设备文件

    #network-related classes
    class socket #socket
    class tcp_socket
    class udp_socket

    class binder #Android平台特有的binder
    class zygote #Android平台特有的zygote

perm_set:

  • 定义操作类型,有两种定义的命令, 如:
    用common命令定义:
    格式为:common common_name { permission_name … }
    common定义的perm set能被另外一种perm set命令class所继承
    如:
    common file {
    ioctl read write create getattr setattr lock relabelfrom relabelto
    append unlink link rename execute swapon quotaon mounton
  • 用class命令定义:
    class class_name [ inherits common_name ] { permission_name … }
    inherits表示继承了某个common定义的权限
    注意,class命令它不能被其他class继承
继承一个common,如继承了file common
class dir
inherits file
{
        add_name
        remove_name
        reparent
        search
        rmdir
        open
        audit_access
        execmod
}

不继承任何common,如
class binder
{
        impersonate
        call
        set_context_mgr
        transfer
}
ly0724ok
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
android:在AndroidO下将selinux设置为permissive
maze的专栏
09-10 8765
ps:运行时的操作就是命令行下的,最简单,重启失效 $getenforce $setenforce 0 '修改测略': log:01-01 00:00:20.828 3665 3665 W sh : type=1400 audit(0.0:12): avc: denied { write } for name="core_pattern" ...
Android 7.1 SElinux权限问题解决方案——编写APP,通过暗码读取TP fw版本
yonghengxiaoqingqing
12-20 4517
1、在底层,创建节点接口和给予访问的权限 kernel/msm-3.18/drivers/input/touchscreen/synaptics_dsx/synaptics_dsx_core.c __ATTR(buildid, (S_IRUGO | S_IWUSR | S_IWGRP), synaptics_rmi4_f01_buildid_show, synaptics_rmi4_...
SELinux权限问题
weixin_44808074的博客
02-17 1596
1.SELiunx audit2allow 2.permissive=1 拥有访问权限 permissive=0 没有访问权限
android selinux报avc denied权限和编译报neverallow解决方案
Venus 的博客
07-06 407
直接打开编译报错中那个domain.te,路径:system/sepolicy/public/domain.te,找到和我们添加的部分,搜索“device:chr_file”,可以找到如下内容了,看一下就明白了,不允许我们这样修改了。报错原因是Google在Android Q上增强了对ioctl的审查,除保持对ioctl的审查/授权之外,对具体的ioctlcmd也需要进一步地审查/授权。1、先查看一下是哪些相关的代码申请的这个权限,主要是判断一下是申请的属性还是device节点访问权限等。
Android App Selinux seapp权限详解
求变,从思想开始
05-07 9725
system\sepolicy\privatekeys.conf [@TESTSEC] ALL:$DEFAULT_SYSTEM_DEV_CERTIFICATE/testsec.x509.pem device/mediatek/common/security/testsec.x509.pem 添加mac_permissions.xml <!-- testseckeyin...
Android系统和开发--安全性和权限管理 SELinux 策略 安全架构
最新发布
chenhao0568的专栏
08-15 985
学习android权限知识 SElinux chmod -R 777 ./ setenforce 0 adb root su fastboot oem at-unlock-vboot adb disable-verityAndroid系统是基于Linux内核构建的,因此它继承了Linux的权限管理机制。Android应用需要通过声明权限来访问系统的某些功能(如摄像头、存储、位置等)。开发者在中声明权限,用户在安装应用时或者运行时可以授予或拒绝这些权限简介: 是一个用于修改文件或目录权限的命令。含义:注意
Android替换为Linux,android:在AndroidO下将selinux设置为permissive
weixin_33879932的博客
05-15 304
ps:运行时的操作就是命令行下的,最简单,重启失效$getenforce$setenforce 0'修改测略':log:01-01 00:00:20.828 3665 3665 W sh : type=1400 audit(0.0:12): avc: denied { write } for name="core_pattern" dev="proc" ino=11742 scont...
android系统user/userdebug版本设置selinuxSELINUX_PERMISSIVE模式
jinron10的专栏
01-06 1364
不是针对消费电子,像工控特殊行业应用,有时需要将androidselinux强行打开。 方法如下: 1、system\core\init\Android.mk --- a/system/core/init/Android.mk +++ b/system/core/init/Android.mk ifneq (,$(filter userdebug eng,$(TARGET_BUILD_VARIANT))) init_options += \ -DALLOW_LOCAL_PROP_OVERRIDE=
Selinux-篇4 标签 android版本(csdn)————程序.pdf
12-03
总结以上内容,SELinuxAndroid系统中的应用主要涉及对应用程序的安全上下文、文件类型、域权限、签名证书和权限绑定等进行配置和管理。通过上述步骤,开发者可以为自己的应用程序定制一套完整的SELinux安全策略,...
安卓Android源码——MobileSafe.zip
10-14
《安卓Android源码深度解析——以MobileSafe为例》 在移动设备安全日益受到重视的今天,Android系统的安全性成为了开发者和用户关注的焦点。MobileSafe是一款针对Android平台设计的安全应用,其源码为我们提供了...
APK启动bin相关selinux权限
04-22
综上所述,理解APK启动bin相关selinux权限对于Android开发者和系统集成商至关重要。在MTK Android 6.0平台上,合理的权限配置和严格的策略执行能够提升系统的安全性,确保应用的稳定运行。在实际操作中,需结合系统...
安卓Android源码——信息过滤功能源码.zip
10-14
8. **安全框架**:Android的安全框架如SELinux,可以设置策略来限制应用的权限,防止其非法访问和操作信息。 9. **用户界面(UI)**:信息过滤功能的实现还需要考虑用户界面的设计,如何直观地向用户展示过滤结果和...
android7禁用selinux,Android7关闭selinux(设置为Permissive模式)
weixin_34434736的博客
05-29 1027
Android7关闭selinux(设置为Permissive模式)设置selinux为宽容模式(Permissive)需要修改两个文件:Android/system/core/init/Android.mkAndroid/system/core/init/init.cpp网上有些文章说修改cmdline,如果修改cmdline无效的话,参考本文对Android/system/core/init/...
Android7.1添加开机启动服务程序关于Selinux权限问题说明
Venus 的博客
04-13 1312
当需要添加一个binder服务xxx程序,并且设置成开机自启动时,需要按照如下步骤操作: 第一步,我们可以在init.rc中添加了如下代码行: service xxxx /system/bin/xxxx class main user root group root oneshot seclabel u:r:xxxx:s0 #这句是为加selinux权限添加的,android5.1以后不加则无法启动该服务 编译img后烧到机器,发现服务xxx无法启动,kernel log中有如下提示(例如这里新加的
Android sepolicy简要记
热门推荐
ch853199769的博客
09-07 2万+
安全上下文 Seapp_contexts File_contexts Service_contexts Property_contexts Hwservice_contexts 安全策略 常见错误修改 违反规则的同时又neverallow问题修改 方式一:更改type 方式二 通过binder/socket 等方式连接APP 访问 方式三 更改Label Process 无法访问某个新增d...
Android Sepolicy 介绍及配置
qq_45527937的博客
03-11 1308
SeAndroid 指的是安卓系统中的安全增强功能,全称为 Security-Enhanced Android。它是基于SELinux(Security-Enhanced Linux)的安全机制,在安卓系统中提供了更加细粒度的安全控制和权限管理。SeAndroid 的作用包括但不限于以下几个方面:强化安全性:SeAndroid通过实施强制访问控制(MAC)策略,限制了应用程序和进程对系统资源(如文件、设备、网络等)的访问权限。这有助于防止恶意应用程序获取系统敏感信息或对系统进行破坏。
关于9.0系统Selinux权限问题报错的分析和处理
RenoY3的博客
05-17 2058
Selinux简介 SELinux是安全增强型 Linux(Security-Enhanced Linux)简称 SELinux。它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。 SELinux for Android在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到Android上的只是SELinux的一个子集。SELinux for Android的安全检查几乎覆盖了所有重要的系统资源,包括域转换,类型转换,进程、内核、文件、目录、设备,App,网络及IPC相关
Android Q 平台 增加文件ioctl 的SElinux权限
sinat_37343534的博客
04-25 2780
Android Q 平台 增加文件ioctl 的SElinux权限 示例问题:avc: denied { ioctl } for path="/**/**" dev="**" ino=4026533781 ioctlcmd=0x6601 scontext=u:r:gap**:s0 tcontext=u:object_r:proc**:s0 tclass=file permissive=0 按照Android Q之前的selinux规则,只需要添加ioctl权限即可 allow gap** proc**:
Android系统开发】SEAndroid权限解决方法汇总
橙子和小果的博客
07-16 889
前言: 从android5.x开始,引入严格的selinux权限管理机制,经常会遇到各种avc denied的log。 SEAndroid就是SElinux的增强型版本。 确认问题 先排查是否由SElinux策略导致的问题 串口输入:setenforce 0 串口输入:getenforce 0 即进入了permissive 1. 强制关闭SEAndroid的方法: 1.1 方法一 如果是user版本固件,则在bootcmd加入androidboot.selinux =permissive即可 如
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ly0724ok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值